FERRAMENTAS LINUX: Identificadas vulnerabilidades do kernel Linux no Ubuntu aviso 4225-1

terça-feira, 7 de janeiro de 2020

Identificadas vulnerabilidades do kernel Linux no Ubuntu aviso 4225-1


Confira !!




Vários problemas de segurança foram corrigidos no kernel do Linux.
==================================================== ========================
Aviso de Segurança do Ubuntu USN-4225-1
7 de janeiro de 2020

linux, linux-aws, linux-azure, linux-azure-5.3, linux-gcp, linux-gcp-5.3,
Vulnerabilidades linux-kvm, linux-oracle, linux-raspi2
==================================================== ========================

Um problema de segurança afeta estes lançamentos do Ubuntu e seus derivados:

- Ubuntu 19.10
- Ubuntu 18.04 LTS

Resumo:

Vários problemas de segurança foram corrigidos no kernel do Linux.

Descrição do software:
- linux: kernel do Linux
- linux-aws: kernel do Linux para sistemas Amazon Web Services (AWS)
- linux-azure: kernel do Linux para sistemas em nuvem do Microsoft Azure
- linux-gcp: kernel do Linux para sistemas Google Cloud Platform (GCP)
- linux-kvm: kernel do Linux para ambientes em nuvem
- linux-oracle: kernel do Linux para sistemas Oracle Cloud
- linux-raspi2: kernel do Linux para Raspberry Pi 2
- linux-azure-5.3: kernel do Linux para sistemas em nuvem do Microsoft Azure
- linux-gcp-5.3: kernel do Linux para sistemas Google Cloud Platform (GCP)

Detalhes:

Foi descoberto que havia um estouro de buffer baseado em heap no Marvell
Driver WiFi-Ex para o kernel do Linux. Um atacante fisicamente próximo poderia
use isso para causar uma negação de serviço (falha no sistema) ou possivelmente executar
código arbitrário. (CVE-2019-14895, CVE-2019-14901)

Foi descoberto que havia um estouro de buffer baseado em heap no Marvell
Driver Libertas WLAN para o kernel do Linux. Um atacante fisicamente próximo
poderia usar isso para causar uma negação de serviço (falha no sistema) ou possivelmente
executar código arbitrário. (CVE-2019-14896, CVE-2019-14897)

Foi descoberto que o driver de dispositivo de rede Fujitsu ES para Linux
O kernel não verificou corretamente se há erros em algumas situações, levando a uma
Dereference de ponteiro NULL. Um invasor local pode usar isso para causar uma negação
de serviço. (CVE-2019-16231)

Anthony Steinhauser descobriu que o kernel do Linux não funcionava corretamente
executar mitigações Spectre_RSB para todos os processadores para arquitetura PowerPC
sistemas em algumas situações. Um invasor local pode usar isso para expor
informação sensível. (CVE-2019-18660)

Foi descoberto que o driver Broadcom V3D DRI no kernel do Linux
desalocar adequadamente a memória em determinadas condições de erro. Um local
O invasor poderia usar isso para causar uma negação de serviço (kernel
exaustão de memória). (CVE-2019-19044)

Foi descoberto que o driver Mellanox Technologies Innova no Linux
O kernel não desalocou adequadamente a memória em determinadas condições de falha. UMA
atacante local pode usar isso para causar uma negação de serviço (memória do kernel
exaustão). (CVE-2019-19045)

Foi descoberto que o driver Mellanox Technologies ConnectX no
O kernel do Linux não desalocou adequadamente a memória em determinadas falhas
condições. Um invasor local pode usar isso para causar uma negação de serviço
(esgotamento da memória do kernel). (CVE-2019-19047)

Foi descoberto que o driver Intel WiMAX 2400 no kernel do Linux
desalocar adequadamente a memória em determinadas situações. Um atacante local
poderia usar isso para causar uma negação de serviço (exaustão da memória do kernel).
(CVE-2019-19051)

Foi descoberto que o driver da interface CAN Geschwister Schneider USB
o kernel do Linux não desalocou adequadamente a memória em determinadas falhas
condições. Um atacante fisicamente próximo pode usar isso para causar uma
negação de serviço (exaustão da memória do kernel). (CVE-2019-19052)

Foi descoberto que a interface de configuração 802.11 baseada em netlink no
o kernel do Linux não desalocou a memória em determinadas condições de erro. UMA
atacante local poderia usar isso para causar uma negação de serviço (kernel
exaustão de memória). (CVE-2019-19055)

Foi descoberto que o subsistema de rastreamento de eventos do kernel Linux
desalocar adequadamente a memória em determinadas condições de erro. Um local
O invasor pode usar isso para causar uma negação de serviço (memória do kernel
exaustão). (CVE-2019-19072)

Foi descoberto que o driver para entrada de força-feedback sem memória
Os dispositivos no kernel do Linux continham uma vulnerabilidade de uso após livre. UMA
atacante fisicamente próximo poderia usar isso para causar uma negação de
serviço (falha do sistema) ou execute código arbitrário. (CVE-2019-19524)

Foi descoberto que o driver Microchip CAN BUS Analyzer no Linux
O kernel continha uma vulnerabilidade de uso após livre na desconexão do dispositivo. UMA
atacante fisicamente próximo pode usar isso para causar uma negação de serviço
(falha do sistema) ou possivelmente executar código arbitrário. (CVE-2019-19529)

Foi descoberto que o driver USB PEAK-System Technik no Linux
O kernel não limpou adequadamente a memória antes de enviá-la para o dispositivo. UMA
atacante fisicamente próximo poderia usar isso para expor
informações (memória do kernel). (CVE-2019-19534)

Tristan Madani descobriu que a implementação do temporizador ALSA no Linux
O kernel continha uma vulnerabilidade de uso após livre. Um invasor local pode usar
causar uma negação de serviço (falha no sistema) ou possivelmente executar
código arbitrário. (CVE-2019-19807)

Foi descoberto que o driver do controlador DesignWare USB3 no Linux
O kernel não desalocou adequadamente a memória em algumas condições de erro. Um local
O invasor poderia usar isso para causar uma negação de serviço (memória
exaustão). (CVE-2019-18813)

Instruções de atualização:

O problema pode ser corrigido atualizando o sistema para o seguinte
versões do pacote:

Ubuntu 19.10:
  linux-image-5.3.0-1008-oracle 5.3.0-1008.9
  linux-image-5.3.0-1009-aws 5.3.0-1009.10
  linux-image-5.3.0-1009-azure 5.3.0-1009.10
  linux-image-5.3.0-1009-kvm 5.3.0-1009.10
  linux-image-5.3.0-1011-gcp 5.3.0-1011.12
  linux-image-5.3.0-1015-raspi2 5.3.0-1015.17
  linux-image-5.3.0-26-generic 5.3.0-26.28
  linux-image-5.3.0-26-generic-lpae 5.3.0-26.28
  linux-image-5.3.0-26-lowlatency 5.3.0-26.28
  linux-image-5.3.0-26-snapdragon 5.3.0-26.28
  linux-image-aws 5.3.0.1009.11
  linux-image-azure 5.3.0.1009.27
  linux-image-gcp 5.3.0.1011.12
  linux-image-generic 5.3.0.26.30
  linux-image-generic-lpae 5.3.0.26.30
  linux-image-gke 5.3.0.1011.12
  linux-image-kvm 5.3.0.1009.11
  linux-image-lowlatency 5.3.0.26.30
  linux-image-oracle 5.3.0.1008.9
  linux-image-raspi2 5.3.0.1015.12
  linux-image-snapdragon 5.3.0.26.30
  linux-image-virtual 5.3.0.26.30

Ubuntu 18.04 LTS:
  linux-image-5.3.0-1009-azure 5.3.0-1009.10 ~ 18.04.1
  linux-image-5.3.0-1010-gcp 5.3.0-1010.11 ~ 18.04.1
  linux-image-azure-edge 5.3.0.1009.9
  linux-image-gcp-edge 5.3.0.1010.10

Após uma atualização padrão do sistema, você precisa reiniciar o computador para
todas as mudanças necessárias.

ATENÇÃO: Devido a uma alteração inevitável da ABI, as atualizações do kernel foram
recebeu um novo número de versão, que exige que você recompile e
reinstale todos os módulos do kernel de terceiros que você possa ter instalado.
A menos que você desinstale manualmente os metapacotes padrão do kernel
(por exemplo, linux-generic, linux-generic-lts-RELEASE, linux-virtual,
linux-powerpc), uma atualização padrão do sistema executará automaticamente
isso também.

Referências:
  https://usn.ubuntu.com/4225-1
  CVE-2019-14895, CVE-2019-14896, CVE-2019-14897, CVE-2019-14901,
  CVE-2019-16231, CVE-2019-18660, CVE-2019-18813, CVE-2019-19044,
  CVE-2019-19045, CVE-2019-19047, CVE-2019-19051, CVE-2019-19052,
  CVE-2019-19055, CVE-2019-19072, CVE-2019-19524, CVE-2019-19529,
  CVE-2019-19534, CVE-2019-19807

Informações do pacote:
  https://launchpad.net/ubuntu/+source/linux/5.3.0-26.28
  https://launchpad.net/ubuntu/+source/linux-aws/5.3.0-1009.10
  https://launchpad.net/ubuntu/+source/linux-azure/5.3.0-1009.10
  https://launchpad.net/ubuntu/+source/linux-gcp/5.3.0-1011.12
  https://launchpad.net/ubuntu/+source/linux-kvm/5.3.0-1009.10
  https://launchpad.net/ubuntu/+source/linux-oracle/5.3.0-1008.9
  https://launchpad.net/ubuntu/+source/linux-raspi2/5.3.0-1015.17
  https://launchpad.net/ubuntu/+source/linux-azure-5.3/5.3.0-1009.10~18.04.1
  https://launchpad.net/ubuntu/+source/linux-gcp-5.3/5.3.0-1010.11~18.04.1

Fonte

Até a próxima !

Nenhum comentário:

Postar um comentário